信息系統(tǒng)滲透測試服務(wù)計(jì)劃1

1、信息系統(tǒng)滲透測試服務(wù)方案1信息系統(tǒng)滲透測試服務(wù)方案通過模擬黑客對目標(biāo)系統(tǒng)進(jìn)行滲透測試，發(fā)現(xiàn)分析并驗(yàn)證其 存在的主機(jī)安全漏洞、敏感信息泄露、SQL注入漏洞、跨站腳本 漏洞及弱口令等安全隱患，評估系統(tǒng)抗攻擊能力，提出安全加固 建議。信息系統(tǒng)滲透測試類型：第一類型：互聯(lián)網(wǎng)滲透測試，是通過互聯(lián)網(wǎng)發(fā)起遠(yuǎn)程攻擊， 比其他類型的滲透測試更能說明漏洞的嚴(yán)重性；第二類型：合作伙伴網(wǎng)絡(luò)滲透測試，通過接入第三方網(wǎng)絡(luò)發(fā) 起遠(yuǎn)程攻擊；第三類型：內(nèi)網(wǎng)滲透測試，通過接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊。信息系統(tǒng)滲透測試步驟：基礎(chǔ)信息收集、主機(jī)安全分析、敏感信息分析、應(yīng)用安全分 析、弱口令分析主要檢測內(nèi)容：跨站腳本漏洞、主機(jī)遠(yuǎn)程安全、殘

2、留信息、SQL注入漏洞、 系統(tǒng)信息泄露、弱口令等信息系統(tǒng)滲透測試過程:分為委托受理、準(zhǔn)備、實(shí)施、綜合評估、結(jié)題五個(gè)階段，參 見下圖。委托受理階段：售前與委托單位就滲透測試項(xiàng)目進(jìn)行前 期溝通，簽署保密協(xié)議，接收被測單位提交的資料。前期溝 通結(jié)束后，雙方簽署，雙方簽署信息系統(tǒng)滲透測試合同。準(zhǔn)備階段：項(xiàng)目經(jīng)理組織人員依據(jù)客戶提供的文檔資料和調(diào) 查數(shù)據(jù)，編寫制定信息系統(tǒng)滲透測試方案。項(xiàng)目經(jīng)理與客戶溝通 測試方案，確定滲透測試的具體日期、客戶方配合的人員。項(xiàng)目 經(jīng)理協(xié)助被測單位填寫信息系統(tǒng)滲透測試用戶授權(quán)單，并通 知客戶做好測試前的準(zhǔn)備工作。如果項(xiàng)目需從被測單位的辦公局 域網(wǎng)內(nèi)進(jìn)行，測試全過程需有客戶方

3、配合人員在場陪同。實(shí)施階段：項(xiàng)目經(jīng)理明確項(xiàng)目組測試人員承擔(dān)的測試項(xiàng)。測 試完成后，項(xiàng)目組整理滲透測試數(shù)據(jù)，形成信息系統(tǒng)滲透測試 報(bào)告。綜合評估階段:項(xiàng)目組和客戶溝通測試結(jié)果，向客戶發(fā)送信 息系統(tǒng)滲透測試報(bào)告。必要時(shí)，可根據(jù)客戶需要召開報(bào)告評審 會，對信息系統(tǒng)滲透測試報(bào)告進(jìn)行評審。如被測單位希望復(fù) 測，由被測單位在整改完畢后提交信息系統(tǒng)整改報(bào)告，項(xiàng)目組依 據(jù)信息系統(tǒng)滲透測試整改報(bào)告開展復(fù)測工作。復(fù)測結(jié)束后， 項(xiàng)目組依據(jù)復(fù)測結(jié)果，出具信息系統(tǒng)滲透測試復(fù)測報(bào)告。結(jié)題階段：項(xiàng)目組將測評過程中生成的各類文檔、過程記錄 進(jìn)行整理，并交檔案管理員歸檔保存。中心質(zhì)量專員請客戶填寫 客戶滿意度調(diào)查表，收集客戶反

4、饋意見。1）測評流程:信息系統(tǒng)運(yùn)行安全應(yīng)急預(yù)案1保健院信息系統(tǒng)運(yùn)行安全應(yīng)急預(yù)案為了保護(hù)醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，促進(jìn)醫(yī)院計(jì)算機(jī)的應(yīng)用 和發(fā)展，保障系統(tǒng)的順利運(yùn)行，特制定本預(yù)案。一、信息系統(tǒng)保護(hù)的重要性1、本預(yù)案所稱計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，是指在醫(yī)院信息系統(tǒng)中， 由計(jì)算機(jī)及其配套的設(shè)備、設(shè)施構(gòu)成，按照系統(tǒng)的應(yīng)用目標(biāo)和規(guī) 則對數(shù)據(jù)信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī) 系統(tǒng)。2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，是保障計(jì)算機(jī)及配套的設(shè) 備、設(shè)施的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障醫(yī)院 信息管理系統(tǒng)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn) 行。4、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，重點(diǎn)是維護(hù)網(wǎng)絡(luò)系統(tǒng)中數(shù)

5、 據(jù)信息和網(wǎng)絡(luò)上一切設(shè)備的安全。5、醫(yī)院內(nèi)全部上網(wǎng)運(yùn)行的計(jì)算機(jī)的安全保護(hù)都適用本規(guī)則， 醫(yī)院信息系統(tǒng)建設(shè)與應(yīng)用。6、財(cái)務(wù)部網(wǎng)絡(luò)技術(shù)組主管全院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù) 工作。7、任何單位或者個(gè)人不得利用上網(wǎng)計(jì)算機(jī)從事危害醫(yī)院利 益的活動，不得危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。二、安全保護(hù)制度1、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的建設(shè)和應(yīng)用，應(yīng)遵守上級主管機(jī)關(guān)辦 法的行政法規(guī)，用戶手冊和其他有關(guān)規(guī)定。2、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)行安全等級保護(hù)和用戶使用權(quán)限劃分。 安全等級和用戶使用權(quán)限以及用戶口令密碼的劃分和設(shè)置由計(jì) 算機(jī)中心負(fù)責(zé)制定和實(shí)施。3、計(jì)算機(jī)中心機(jī)房應(yīng)符合國家標(biāo)準(zhǔn)和國家規(guī)定。4、在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)施附近進(jìn)行營房維修、改造

6、及其他 活動，不得危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全。如無法避免而影響計(jì)算 機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)施安全的作業(yè)，須事先通知計(jì)算機(jī)中心，經(jīng)中心負(fù) 責(zé)人同意并采取保護(hù)措施后，方可實(shí)施作業(yè)。5、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的使用單位和個(gè)人都必須遵守計(jì)算機(jī)安 全使用規(guī)則，以及有關(guān)的操作規(guī)程和規(guī)章制度。6、對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中發(fā)生的問題，有關(guān)使用單位負(fù)責(zé)人 應(yīng)當(dāng)立即向計(jì)算機(jī)工程技術(shù)人員報(bào)告。7、對計(jì)算機(jī)病毒和危害網(wǎng)絡(luò)系統(tǒng)安全的其他有害數(shù)據(jù)信息 的防治工作，由計(jì)算機(jī)中心負(fù)責(zé)處理。8、對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)軟件、設(shè)備、設(shè)施的安裝、調(diào)試、故 障排除等各項(xiàng)操作由計(jì)算機(jī)工程技術(shù)人員負(fù)責(zé)。其他任何單位或 個(gè)人不得自行拆卸、安裝任何軟、硬件設(shè)施。9、所有上網(wǎng)

7、計(jì)算機(jī)絕對禁止進(jìn)行國際聯(lián)網(wǎng)或與院外其他公 共網(wǎng)絡(luò)聯(lián)接。三、安全監(jiān)督計(jì)算機(jī)中心對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)工作行使下列監(jiān)督 職權(quán)。1、監(jiān)督、檢查、指導(dǎo)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全維護(hù)工作。2、查處危害計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的違章行為。3、履行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全工作的其他監(jiān)督職責(zé)。4、技術(shù)人員發(fā)現(xiàn)影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的隱患時(shí)，可立 即采取各種有效措施予以制止。5、計(jì)算機(jī)工程技術(shù)人員在緊急情況下，可以就設(shè)計(jì)計(jì)算機(jī) 網(wǎng)絡(luò)安全的特定事項(xiàng)采取特殊措施進(jìn)行防范。四、實(shí)施情況1、制度建立后印發(fā)各使用科室，要求各科認(rèn)真組織學(xué)習(xí)， 做到操作人員必須掌握。2、財(cái)務(wù)部計(jì)算機(jī)網(wǎng)絡(luò)中心組織全院操作人員進(jìn)行培訓(xùn)，內(nèi) 容為信息質(zhì)量與安全教育。五、信息管理意外事件處理（一）、應(yīng)急預(yù)案1、堅(jiān)持信息化領(lǐng)導(dǎo)小組，明確職責(zé)權(quán)利；2、發(fā)生意外事件后各科室在5分鐘內(nèi)將信息反饋財(cái)務(wù)部計(jì) 算機(jī)網(wǎng)絡(luò)中心；3、快速向科主任及主管領(lǐng)導(dǎo)匯報(bào)，并啟動應(yīng)急方案；4、一旦發(fā)生無法挽回的事件后，應(yīng)立即轉(zhuǎn)入手工狀態(tài)；5、當(dāng)故障解決后，在48小時(shí)之內(nèi)將手工數(shù)據(jù)全部補(bǔ)錄到 HIS系統(tǒng)中；6、解決流程：故障部門5分鐘上報(bào)計(jì)算機(jī)網(wǎng)絡(luò)中心10分鐘到現(xiàn)場事故處 理結(jié)果（重大事故報(bào)）手工模式（無法解決故障）醫(yī)院領(lǐng)導(dǎo)恢復(fù) 數(shù)據(jù)，由計(jì)算機(jī)網(wǎng)絡(luò)中心組織搶修。7、應(yīng)急事件處理領(lǐng)導(dǎo)小組